Oracle Cloud Infrastructureドキュメント

コンプライアンスのためのインスタンスの再スキャン

SCCまたはOpenSCAPツールを使用してインスタンスをスキャンし、インスタンスが準拠していることを確認します。

Oracle Linux STIGイメージ・インスタンスに対して行う変更(他のアプリケーションのインストールや新しい構成設定の追加など)が、コンプライアンスに影響する可能性があります。スキャンして、変更後にインスタンスに準拠していることを確認することをお薦めします。また、四半期ごとの定期的なDISA STIG更新をチェックするために、その後もスキャンを実行する必要があります。

OpenSCAPツールの使用

OpenSCAPツールはOracle Linuxで使用することができ、米国国立標準技術研究所(NIST)によって認定されています。

  1. Oracle Linux STIGイメージ・インスタンスにサインインします。
  2. openscap-scannerパッケージをインストールします。
    sudo yum install openscap-scanner
  3. スキャンに使用するXCCDFまたはデータストリーム・ファイルを特定します。

    SSG "stig"プロファイルを使用するには:

    1. scap-security-guideパッケージをインストールします。 
      sudo yum install scap-security-guide
    2. /usr/share/xml/scap/ssg/contentにあるスキャンに使用するファイルを見つけます。
    Oracle Linux DISA STIGベンチマークを使用するには:
    1. https://public.cyber.mil/stigs/downloads/"に移動します。
    2. Oracle Linuxを検索し、適切なDISA STIGベンチマーク・ファイルをダウンロードします。
    3. ファイルをダウンロードした後で解凍します。
  4. スキャンを実行するために、次のコマンドを実行します: 
    sudo oscap xccdf eval --profile profile-name \
--results=path-to-results.xml --oval-results \
--report=path-to-report.html \
--check-engine-results \
--stig-viewer=path-to-stig-viewer-report.xml \
path-to-xccdf-document

    oscapコマンドで使用できるその他のオプションについては、Oracle® Linux 7: セキュリティ・ガイドOpenSCAPを使用した脆弱性のスキャンおよびOracle Linux 8: セキュリティ・コンプライアンスのためのOpenSCAPの使用を参照してください。

  5. path-to-report.htmlファイルで評価結果を確認します。

SCCツールの使用

SCCツールは、政府機関のコンプライアンスを確認するための公式ツールであり、Oracle Linux STIGイメージ・インスタンスのスキャンに使用できます。

重要

Armアーキテクチャ(aarch64)をスキャンするには、SCCバージョン5.5以上を使用する必要があります。

SCCツールを使用する手順は、SCAPツールの表(https://public.cyber.mil/stigs/scap/)を参照してください。

  1. https://public.cyber.mil/stigs/scap/の表からSCCツールを取得します。
  2. ツールをインストールします。 
    unzip scc-5.4.2_rhel7_sles12-15_oracle-linux7_x86_64_bundle.zip
cd scc-5.4.2_rhel7_x86_64/
rpm -i scc-5.4.2.rhel7.x86_64.rpm
  3. SCCツールにインポートする前に、SCAPコンテンツ.xmlファイルをZipします。

    SSG "stig"プロファイルの場合:

    zip ssg_content.zip /usr/share/xml/scap/ssg/content/xml-document
/opt/scc/cscc -is ssg_content.zip

    Oracle Linux DISA STIGベンチマークの場合:

    zip scap_content.zip path-to-disa-benchmark-xml-document
/opt/scc/cscc -is scap_content.zip
  4. インポートされたコンテンツに対してスキャンするようにSCCを構成します 
    /opt/scc/cscc --config
  5. コマンドライン・メニューを使用してスキャンを実行します:
    1. 1と入力してSCAPコンテンツを構成します。
    2. clearと入力してから、インポートされたSCAPコンテンツに一致する番号を入力します。

      次の例では、Oracle Linux 7用のインポートされたSCAPコンテンツに対して2と入力します。 

      SCC 5.4.2 Available SCAP Content                        [Version]  [Date]    
1.  [ ]  Mozilla_Firefox_RHEL                           005.003    2021-06-09
2.  [X]  OL-7                                           0.1.54     2021-09-23
3.  [ ]  Oracle_Linux_7_STIG                            002.004    2021-06-14
4.  [ ]  RHEL_6_STIG                                    002.002    2020-12-04
5.  [ ]  RHEL_7_STIG                                    003.004    2021-06-14
6.  [ ]  RHEL_8_STIG                                    001.002    2021-06-14
7.  [ ]  SLES_12_STIG                                   002.004    2021-06-14
    3. 0と入力してメイン・メニューに戻ります。
    4. 2と入力してSCAPプロファイルを構成します。
    5. 1と入力してプロファイルを選択します。"stig"が選択されていることを確認します。 
      Available Profiles for OL-7

1.  [ ] no_profile_selected
2.  [X] stig
    6. メイン・メニューに戻ります。9と入力して変更を保存し、システムでスキャンを実行します。
      スキャンには25分から30分かかる場合があります。